Plesk: vulnerabilità CVE-2026-44962, rischio elevato per i server Linux
È stata risolta una vulnerabilità critica in Plesk che interessa il componente APS Catalog e può consentire a un utente autenticato con privilegi ridotti di elevare i propri privilegi sul server. La falla è tracciata come CVE-2026-44962 e riguarda un problema di XPath injection nella funzionalità di ricerca del catalogo APS.
Cosa sappiamo sulla vulnerabilità
Secondo la documentazione tecnica, l’input fornito dall’utente viene interpolato in query XPath senza una sanitizzazione adeguata, aprendo la strada a manipolazioni del flusso di esecuzione. In pratica, un attaccante che abbia già un accesso valido ma limitato può arrivare all’esecuzione di comandi sul sistema operativo del server, con impatto diretto sulla sicurezza dell’infrastruttura.
La segnalazione del CSIRT Italia indica che il problema è stato classificato come Privilege Escalation e che le versioni affette sono precedenti a Plesk 18.0.75.1 e 18.0.76.1.
L’ advisory del vendor conferma che il fix è stato distribuito nelle release 18.0.75.1 e 18.0.76.2.
Impatto operativo
Il punto più delicato non è solo la presenza della vulnerabilità, ma il fatto che richieda un utente già autenticato: questo rende il rischio particolarmente rilevante in ambienti condivisi, hosting reseller e server con più account amministrativi. Una compromissione di questo tipo può tradursi in accesso ai file di configurazione, manipolazione dei siti ospitati e movimento laterale verso altri servizi presenti sulla macchina.
Inoltre, la gravità assegnata dalle fonti pubbliche è molto alta: diverse analisi riportano un punteggio CVSS pari a 9.9 o comunque classificazioni di tipo Critical. In un contesto reale, questo significa che l’aggiornamento va trattato come prioritario, non come manutenzione ordinaria.
Versioni coinvolte e correzione
Le fonti consultate concordano sul fatto che le versioni corrette sono quelle rilasciate a fine febbraio 2026, in particolare Plesk Obsidian 18.0.75.1 e 18.0.76.2. Le installazioni precedenti a queste release risultano esposte e dovrebbero essere aggiornate il prima possibile.
Se l’aggiornamento immediato non è possibile, il vendor e gli organismi di risposta italiani indicano come mitigazione temporanea la disattivazione del componente APS Catalog. Questa misura riduce la superficie d’attacco, ma non sostituisce la patch, che resta l’unica soluzione definitiva.
Cosa fare subito
- Verificare la versione di Plesk installata sul server.
- Aggiornare a una release che includa la correzione, cioè almeno 18.0.75.1 o 18.0.76.2 a seconda del ramo usato.
- Se non puoi aggiornare subito, disabilitare temporaneamente APS Catalog secondo le indicazioni del vendor.
- Controllare log e attività recenti, soprattutto su server multi-tenant o con accessi amministrativi distribuiti.
- Pianificare una verifica post-update per accertare che il pannello e i servizi collegati siano pienamente operativi.
Perché è importante
Plesk è spesso il cuore operativo di ambienti hosting e piccoli datacenter, quindi una vulnerabilità nel pannello di controllo non è mai “solo” un problema applicativo. Quando il controllo del server passa da una singola dashboard, una falla di privilegio può trasformarsi rapidamente in un incidente ampio, con impatto su più siti, database e account clienti.
Per questo motivo, la regola pratica è semplice: aggiornare subito, limitare temporaneamente ciò che non serve e considerare il pannello come asset critico. In scenari come questo, la rapidità di patching vale più di qualunque hardening successivo.
Link:
Advisory Ufficiale di Plesk: Per consultare i dettagli tecnici e la mitigazione ufficiale, vedi l’Articolo di Supporto Plesk sulla vulnerabilità CVE-2026-44962
Database Mitre / CVE Org: Per la scheda identificativa della vulnerabilità, consulta il Record Ufficiale CVE-2026-44962 su CVE.org.
NIST: CVE NIST analisi
ACN Italia: Risolta vulnerabilità in Plesk
